Les modifications apportées à la liste d’adresses autorisées IP sur Panorama ne prennent pas effet.
4419
Created On 06/30/21 08:40 AM - Last Modified 06/26/25 21:01 PM
Symptom
Lors de la mise à jour de la liste d’adresses autorisées IP sur une Panorama interface autre que la gestion, la configuration semble être appliquée, mais les modifications apportées à la liste d’autorisations ne prennent pas effet.
Environment
- ANY Panorama
- PANOS: 9.0, 9.1, 10.0
Cause
Cela se voit si la liste d’adresses autorisée IP est modifiée sur une interface non de gestion (par exemple, ethernet1/1) et que seule une validation est Panorama effectuée.
Resolution
Pour que la modification soit appliquée avec succès, une poussée vers le groupe collecteur doit également être effectuée après une validation localePanorama.
Additional Information
Comme cela n’affecte que les interfaces non gérées, cela affecte généralement la collecte de journaux à l’aide des interfaces supplémentaires sur Panorama.
Lors de l’affichage de la configuration, il semble que la modification ait été appliquée, mais la variable sdb n’a pas été mise à jour, comme le montre la sortie suivante CLI :
> show system state filter cfg.net.s0.eth*.aclExemple de sortie après avoir également ajouté 10.1.1.0/24 à ethernet1/1 :
cfg.net.s0.eth0.acl: { 'peers': [ 10.1.1.0/24, ], 'services': [ ssh, https, pan-panorama, pan-dlsrvr, snmp, snmptrap, ping, icmp, ], 'v6peers': [ ], } cfg.net.s0.eth1.acl: { 'peers': [ ], 'services': [ icmp, ping, pan-dlsrvr, ], 'v6peers': [ ], } <--- ethernet1 does not have any peers.